IA et cybersécurité : une nouvelle réalité pour les entreprises
Une centrale électrique simulée, un système de contrôle industriel reproduit virtuellement, turbines, systèmes de pression et régulateurs de température : tout est virtuel, mais suffisamment réaliste pour servir de référence afin de mesurer la caractéristique la plus dangereuse de l’IA moderne : les cyberattaques autonomes.
Le test s’appelle « La Tour de Refroidissement ». Le AI Security Institute (AISI) britannique l’utilise pour mesurer ce que les modèles d’IA peuvent accomplir sans intervention humaine. Aucun modèle n’y était jamais parvenu, jusqu’à la semaine dernière. Claude Mythos, le dernier modèle d’Anthropic, a mené l’attaque à bien dans trois tentatives sur dix. Une première.
Capacité croissante des cyberattaques autonomes basées sur l’IA
L’AISI n’est pas une organisation de marketing, mais un organisme public indépendant qui évalue les modèles d’IA de pointe avant leur déploiement à grande échelle. Sa méthode de mesure est simple : combien de temps un modèle d’IA peut-il mener de manière autonome une attaque complexe sans rencontrer de blocage ?
En novembre 2025, cette capacité doublait tous les huit mois. En février 2026, ce délai n’était déjà plus que de 4,7 mois. Depuis lors, Mythos et GPT-5.5 d’OpenAI ont déjà dépassé cette tendance. L’AISI écrit avec prudence : « Il n’est pas certain qu’il s’agisse d’une nouvelle tendance ou d’un bond ponctuel. » Mais aussi : « La direction du changement a toujours été la même. »
Une attaque nécessitant vingt heures de travail pour un expert humain en cybersécurité est aujourd’hui exécutée de manière autonome par Mythos.
L’impact sur le paysage des PME
Les simulations de l’AISI ne reproduisent pas des attaques visant de grandes entreprises disposant d’équipes de sécurité à temps plein. Elles simulent des attaques contre de petits réseaux d’entreprise. Exactement le type d’environnement qui correspond à la réalité de la plupart des PME flamandes.
Le modèle de menace évolue fondamentalement. Autrefois, une attaque ciblée nécessitait des hackers spécialisés et une cible intéressante. Aujourd’hui, les attaques sont évolutives et automatisables. Toute PME disposant d’une présence en ligne, d’un système ERP dans le cloud ou de connexions avec des fournisseurs et des clients constitue une cible potentielle, non pas en raison de son identité, mais en raison de sa configuration.
Chez Palo Alto Networks, les derniers modèles d’IA ont permis d’effectuer en trois semaines autant de tests de sécurité qu’en une année auparavant de manière manuelle. La même technologie qui défend peut aussi attaquer.
Priorités pour les dirigeants et les responsables informatiques
Le Centre pour la Cybersécurité Belgique (CCB) et le NCSC sont clairs quant aux mesures de base : mises à jour régulières, contrôles d’accès stricts, authentification multifactorielle et journalisation active. Il s’agit de la ligne de défense minimale, et pour de nombreuses PME, ce n’est toujours pas une réalité.
Il y a également une bonne nouvelle du côté flamand. Depuis le 1er février 2026, le conseil en cybersécurité est le seul domaine restant pour lequel les PME peuvent encore demander une subvention via le portefeuille PME. Jusqu’à 30 % d’aide, soit un maximum de 7 500 € par an. Le gouvernement flamand a ainsi envoyé un signal politique clair. Un dirigeant de PME qui n’en profite pas se prive à la fois d’un soutien financier et d’une meilleure protection.
La tour de refroidissement tenait encore debout. Ce n’est plus le cas aujourd’hui. La question n’est pas de savoir si votre réseau sera un jour analysé. La question est de savoir ce qui y sera trouvé.
La cybersécurité comme risque stratégique pour l’entreprise
Les capacités cyber pilotées par l’IA progressent plus rapidement que la plupart des organisations ne peuvent les suivre. Ce n’est pas une raison de paniquer, mais un appel à une action structurelle. La sécurité n’est pas un projet informatique. C’est un risque d’entreprise qui doit être traité au niveau de la direction.
